За останні місяці фахівці De Novo зібрали власну колекцію таких «креативів». У цій статті коротко розбираємо найяскравіші приклади, показуємо їхні типові ознаки та помилки. І додаємо коментарі відділу інформаційної безпеки De Novo про те, як не стати героєм чужого сценарію.
Читайте также: «Ланет» запустив тарифи з гігабітним інтернетом і підпискою MEGOGO в одному пакеті
«У вас мало часу! Рятуйтеся!». Листи від «українських військових»
Один із найагресивніших сценаріїв фішингу, з якими ми зіткнулися, — це спроба зупинити роботу офісу через прямі погрози терактами. Зловмисники грають на найболючіших темах війни та особистого відчаю. Такий тип фішингу ми для себе визначили як «психологічний терор під маскою особистої трагедії». Ми отримували листи від відправників із вигаданими іменами, які представляються ветеранами, що нібито втратили все. Вони використовують лякаюче детальні формулюваняня: «ми протягом 2 тижнів замінували більше 1000 об’єктів цивільної інфраструктури, й сьогодні ми почнемо підривати адміністративні будівлі». У тілі листа є навіть фото саморобних вибухових пристроїв, що має додати ваги повідомленню.
Серед авторів таких фішингових листів — персонажі з дивними іменами. Так, нам пишуть «українські» військові: Гремислав, Звенімір, Людіслав, Звенігор, Немір, Євстафій, Доброслав та Богуслав. Складається враження, що спамери вирішили додати креативу — почуття гумору ми оцінили, хоча наміри в них були зовсім не жартівливі.
Погрози від «ветерана» Доброслава Трутовського маніпулюють відчуттям страху
У текстах згадуються й конкретні адреси — від посольств іноземних держав до шкіл та телеканалів (правда, часто ці адреси далеко не завжди збігаються з реальним розміщенням об’єктів). Особливу увагу приділяють опису небезпеки, щоб залякати співробітників. Наприклад, в одному з листів автор детально описував загрозу та конструкцію саморобного вибухового пристрою (СВП). Мета таких атак — в створенні психологічного тиску й атмосфери паніки.
Цікаво, що попри «патріотичну» або «протестну» риторику ці листи часто надходять з «екзотичних» (ймовірно, зламаних) закордонних доменів — у нашому випадку японських, що одразу видає їхню справжню сутність. Також ознакою фішингу є те, що листи з погрозами, які приходять на різні поштові скриньки, не надто відрізняються за змістом. Формулювання змінені мінімально. Але це видно лише якщо порівняти одразу кілька листів, які надходять на різні поштові скриньки співробітників.
«Доброго дня! Прошу вас надати…». Звернення державних органів або «запити від СБУ»
Коли «терор» не дає результату, фішери змінюють вектор, імітуючи запити від держструктур. Ми зафіксували листи, надіслані нібито від «Центрального управління СБУ». Зловмисники використовують строгий канцелярський стиль та прямі вимоги, на кшталт таких:
Найбільша небезпека тут прихована в прикріплених файлах. Лист супроводжується архівом із назвою «Запит СБУ.rar». Розрахунок тут на те, що співробітник поквапиться відкрити вкладення, щоб ознайомитися з документами. Насправді всередині архіву, як правило, знаходиться шкідливий код, що дає хакерам доступ до робочої станції. Це класичний приклад цільового фішингу (spear phishing), націленого на юристів, бухгалтерів або топ-менеджмент, тобто людей які звикли працювати з офіційною кореспонденцією.
«Ваш сертифікат закінчився». Імітація сервісних сповіщень
Паралельно з «гучними» погрозами триває тиха облога технічного персоналу через імітацію сервісних сповіщень. У хмарному бізнесі робота з доменами та SSL-сертифікатами — це щоденна рутина, і саме тут зловмисники розставляють свої пастки. Ми отримали серію фішингових листів, що мімікрують під сповіщення від провайдерів:
«Поновіть» дію договору, та… віддайте хакерам свої облікові дані.
Кнопки «Поновити зараз» можуть вести на фальшиві платіжні сторінки, де метою є крадіжка, наприклад, корпоративних облікових записів. Підступність цих атак у тому, що вони приходять у моменти високого навантаження адмінів, коли перевірка адреси відправника (наприклад, [email protected]) здається витрачанням часу.
«Терміново оновіть!».Внутрішня мімікрія та захоплення облікових записів
Отримували ми й листи, які маскуються під внутрішні системні сповіщення нашої власної компанії. Зловмисники створюють розсилки, які на перший погляд виглядають як стандартні повідомлення від ІТ-департаменту або поштового сервера:
Читайте также: Brave1 братиме участь у створенні цифрової платформи, яка об’єднає українських виробників зброї з великими західними компаніями
Використання англійської мови в таких сповіщеннях — поширена практика в ІТ-середовищі, що допомагає листам «розчинитися» серед сотень інших повідомлень.
Терміново треба щось оновити? Краще не квапитись
У цих фішингових листах використовують тактику створення штучного дефіциту часу, наприклад пишуть про терміновість дій:
Розрахунок на те, що наляканий втратою важливих листів співробітник натисне на «Release Pending Mail», потрапить на фальшиву форму входу в пошту та добровільно передасть свій логін та пароль хакерам. Зловмисники шукають не стільки пролом у системі кібербезпеки, скільки розраховують на послаблену увагу співробітників. Найкращим захистом у цьому разі залишається культура здорового скептицизму. Якщо «підрозділ безпеки» пише вам із сайту японського магазину запчастин, а «СБУ» надсилає документи у форматі .rar або .zip — про це потрібно негайно повідомити Відділ інформаційної безпеки.
Як від цього захиститися?Коментарі та рекомендації від відділу інформаційної безпеки De Novo
Рекомендації які надає відділ інформаційної безпеки:
- Не переходьте за сумнівними посиланнями з повідомлень, месенджерів чи електронної пошти
- Не вводьте особисті або банківські дані на сторонніх сайтах;
- Видаляйте підозрілі повідомлення
- Завжди перевіряйте інформацію тільки на офіційних ресурсах: сайті, застосунку або зателефонуй на номер телефону, зазначений на офіційному сайті
- Також не відкривайте вкладення що містяться в листах від невідомих підозрілих адресантів.
Є мінімальні підозри, сумніви — звертайтеся до Відділу інформаційної безпеки для проведення додаткового аналізу.
Однак, як показує наш досвід, зловмисники часто використовують легітимні ресурси з яких здійснюються розповсюдження листів шкідливого характеру та завантаження вкладень з шкідливим кодом.
В таких випадках критично важливо навчити співробітників базового технічного аналізу листів — перевірці відповідності імені відправника його реальній адресі та вивченню посилань перед кліком. Правило «наведи курсор, але не натискай» має стати автоматичним рефлексом для кожного, хто працює з поштою. Особливу увагу слід приділяти роботі з вкладеннями, особливо у форматах архівів або документів які можуть містити макроси, вбудовані об’єкти, гіперпосилання або зв’язки з іншими ресурсами що дозволяють завантажити шкідливе програмне забезпечення.
Тут прямо попереджають — не натискайте, не відкривайте!
Листи з «запитами від СБУ», що містять архіви або файли до виконання, автоматично перевіряються спеціалізованим програмним забезпеченням для захисту електронної пошти, перш ніж потраплять на комп’ютер кінцевого користувача. Також не виключаємо окремі винятки коли лист потребує додаткового аналізу з боку відділу інформаційної безпеки. В оптимальній структурі безпеки будь-які вкладення від зовнішніх відправників, яких співробітник не очікував, мають апріорі вважатися шкідливими.
Нарешті, найскладнішим, але ефективним елементом захисту є «право на сумніви». У більшості випадків співробітники припускаються помилок, бо бояться підвести компанію або виглядати некомпетентними, ігноруючи «терміновий запит» керівництва чи держструктур. Співробітникам необхідно повідомляти про будь-які підозрілі листи, навіть якщо вони схожі на хибну тривогу. У De Novo ми вибудовуємо систему безпеки так, щоб звіт про фішинговий лист займав не більше кількох хвилин, а відділ інформаційної безпеки давав швидкий зворотний зв’язок.
Регулярні навчання, листи з роз’ясненнями про можливі спам-розсилки допомагають персоналу зберігати пильність та перетворюють теорію безпеки на практичні навички.
Читайте также: YouTube видалив розслідування УП про Єрмака після скарги: редакція назвала це цензурою
https://dev.ua/news/zvenyhor-1773062445